Jump to content
Калькуляторы

Помогите выбрать Cisco на ядро ...7600-...

Доброго времени суток!

Мы небольшая интернет-компания одного города в сибирском регионе.

Имеем достаточно много оптики по городу. До недавнего времени были только юрлица.

В центре стоит 3845, а от него расходятся L2 коммутаторы по узлам. Банально Влан на абонента. Много ADSL клиентов, по PPPoE.

Полгода назад начали активно подключать жилые дома. В основном - это тот же РРРоЕ и редко VPN (PPTP)

На данный момент имеем около 1000 пользователей. Трафик собираем по нетфлов, на интерфейсах Rate-Limit.

Загрузка процессора начинает подходить к 80% (у нас не такие огромные и толстые каналы как в столице и рядом с ней). Особенно плохо сказывается

на загрузке CPU дань безлимитам физлицам. L3-коммутатора в ядре нет.

Собственно в связи с этим, и не только (опишу чуть ниже) встала необходимость купить нечто мощнее и на будущее.

 

Сейчас вводим 802.1х для физлиц. Вытекающие проблемы: ограничение IP+mac внутри влана, нарезка скорости для каждого IP из большой подсети независимо

(как я ни крутил свою 3845, не нашёл решения), ну и самое главное - это скоростная маршрутизация трафика между вланами.

 

На сегодняшний день стоят проблемы перед выбором новой циски:

1) ограничение скорости при испольщовании 802.1х по-пользовательски (что-то в духе UBRL)

2) возможность PPTP

3) маршрутизация VLAN на 3-м уровне

4) ограничение IP+(возможно) MAC внутри VLAN

6) ограничение скорости на VLAN

7) поддержка Netflow

8) поддержка болшого количества одновременно работающих вланов (наша 2960 ну очень скромна).

 

По бюджету: 1-3 млн.р.

 

Что посоветуете, уважаемые гуру?

Share this post


Link to post
Share on other sites
Сейчас вводим 802.1х для физлиц.

Вы не находите, что это абсолютно не нужно при

Банально Влан на абонента.

Развивайте этот путь и забейте на всякие костыли типа PPTP, 802.1х, IP-MAC-Port-Binding и т.п.

Share this post


Link to post
Share on other sites

dot1x если и юзать, то на свиче доступа, никак не на ядре

Share this post


Link to post
Share on other sites
Сейчас вводим 802.1х для физлиц.
Вы не находите, что это абсолютно не нужно при
Банально Влан на абонента.
Развивайте этот путь и забейте на всякие костыли типа PPTP, 802.1х, IP-MAC-Port-Binding и т.п.

На данный момент невозможно, т.к. весьма много вланов под юрлиц УЖЕ отведено. А их у нас очень много, в отличие от физлиц.

Вланы не бесконечны. И в силу структуры нашей сети влан на абонента (для физика) недопустимо. 802.1х перспективная вещь

 

По сабжу есть мысли?

 

 

и от PPTP нам ну никак не отказаться. т.к. многие клиенты у нас проключены через чужие сети.

 

dot1x если и юзать, то на свиче доступа, никак не на ядре
ну так на свиче доступа и юзаем. а на ядре нужно скорости резать по-пользовательски. Непонятно только как

Share this post


Link to post
Share on other sites
На данный момент невозможно, т.к. весьма много вланов под юрлиц УЖЕ отведено. А их у нас очень много, в отличие от физлиц.

Вланы не бесконечны.

Вот уже более 30К физиков, и все "вилан на юзера". Что я делаю не так? :)

Совершенно необязательно сводить всех юзеров в одну мега-железку. Более того, это зачастую вредно - представьте, что она сдохла...

Поставьте рядом ещё одну 3845, а лучше 7201 и сводите их туда. Кончится - поставите ещё одну...

Скажу крамольную мысль - многие писюки ставят на терминацию юзерских туннелей, они дешевле цисок при на порядок большей производительности...

 

Можно посмотреть б/у шеститонники от НАГа, но их надо готовить уметь...

 

Share this post


Link to post
Share on other sites
dot1x если и юзать, то на свиче доступа, никак не на ядре
ну так на свиче доступа и юзаем. а на ядре нужно скорости резать по-пользовательски. Непонятно только как
Скорость удобно резать там, где терминируется выход абонента в инет. Классика - на брасе (там где у Вас pptp раздается). Для 802.1х удобнее было бы резать скорость прямо на порту доступа, но тогда юзер получит ущербную внутрисеть :) . Если это не приемлемо - тогда на бордере.

 

Вообще, у Вас целый зоопарк технологий доступа - это неизбежно приведет к зоопарку цисок :) и замороченной схеме рассыпания по этому зоопарку клиентов, чтобы им еще и внутрисеть обеспечить. Одной мега-железякой точно не обойдетесь (ИМХО). Может все же унифицировать технологию доступа? UglyAdmin разумную вещь предлагает...

 

Скажу крамольную мысль - многие писюки ставят на терминацию юзерских туннелей, они дешевле цисок при на порядок большей производительности...
Ууугууу :) +1

 

Share this post


Link to post
Share on other sites
... а на ядре нужно скорости резать по-пользовательски. Непонятно только как
может, копнуть тогда в сторону dot1x-атрибутов и попытаться резать тоже прям на свиче? а если на ядре, то стопка 72-х с isg и вперед, заодно никаких граблей с dot1x, только ipSrcGuard

 

Share this post


Link to post
Share on other sites
то стопка 72-х с isg и вперед, заодно никаких граблей с dot1x, только ipSrcGuard
+1
Вообще, у Вас целый зоопарк технологий доступа - это неизбежно приведет к зоопарку цисок :) и замороченной схеме рассыпания по этому зоопарку клиентов, чтобы им еще и внутрисеть обеспечить. Одной мега-железякой точно не обойдетесь (ИМХО). Может все же унифицировать технологию доступа?
+10

Share this post


Link to post
Share on other sites

как вариант заменить на узлах 2960 на 3750G

 

ну а на ядро 72хх с G1/G2

как упрется в производительность то следующую ставить

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this